[发明专利]基于WEB网页的木马病毒扫描方法

说明书

技术领域

本发明涉及一种病毒扫描技术，特别涉及一种基于WEB网页的木马病 毒扫描方法。

背景技术

当前计算机网络应用非常广泛，多种应用均依赖于计算机网络环境。 但网络环境中的病毒也逐渐多了起来，例如计算机网络病毒可随网络链接 到聊天工具MSN，电子邮件、网页等等。以盗取个人账号密码等信息为目 的的木马病毒越来越多，其产生的危害也越来越大。当前反木马病毒的杀 毒软件多为基于WINDOW平台的个人PC机，安装在客户端的防病毒软件。 针对WEB环境的服务器端，或针对不同PC系统环境，没有比较合适的木 马病毒控制软件。据了解，当前服务器端遭受的黑客攻击，80％为WEB 攻击，黑客在获得WEB权限后，会立刻上传WEB木马病毒，进行进一步的 权限提升，给服务器造成严重的威胁。

发明内容

本发明要解决的技术问题是提供一种基于WEB网页的木马病毒扫描 方法，该方法能在WEB服务器端，对网页木马文件进行扫描，且能适用于 不同的操作系统环境。

为解决上述技术问题，本发明的基于WEB网页的木马病毒扫描方法， 包括以下步骤：

(1).获得WEB服务器所有WEB目录；加载包含木马病毒特征的木马病 毒规则库及非木马病毒文件的白名单；

(2).枚举WEB目录下的脚本文件，循环判断是否包含木马病毒规则库 内容；

(3).如果WEB目录下的脚本文件包含木马病毒规则库中的内容，则进 行步骤(4)；如果否，进行步骤(2)；

(4).若脚本文件包含在白名单中，则进行步骤(2)；

(5).若脚本文件未包含在白名单中，则进行报警。

本发明的基于WEB网页的木马病毒扫描方法，可应用于WINDOWS系统 平台或LINUX平台，根据其应用系统环境，建立相应的木马病毒规则库文 件，用正则方式(正则表达式)匹配当前网页脚本中是否含有木马病毒规 则库内包含的木马特征，能在WEB服务器端，对网页木马文件进行扫描， 能扫描到WEB网页木马，可在第一时间发现黑客入侵网站，不会等造成损 失之后采取弥补网站漏洞，提高了网络安全检测的实时性，降低人工管理 成本。

附图说明

下面结合附图及具体实施方式对本发明作进一步详细说明。

图1是基于WEB网页的木马病毒扫描方法的一实施方式的流程图。

具体实施方式

本发明的基于WEB网页的木马病毒扫描方法的一实施方式如图1所 示，木马病毒扫描工具安装在WEB服务器端，对黑客恶意上传的或者利用 WEB漏洞写入的网页木马病毒文件进行扫描，当运用本发明提出的方法进 行木马病毒扫描时，当发现WEB目录下的脚本文件存在包含网页木马病毒 的特征字样时，即报警并将信息输出到文本文件。包括以下步骤：

1.获得基于WINDOWS+IIS(即平台为WINDOWS操作系统和IIS WEB引 擎)或LINUX的所有WEB目录(包括站点目录及虚拟目录)；搜索当前ASP、 JSP、PHP、ASPX等脚本语言的木马病毒样本，提取木马病毒规则库信息， 根据木马病毒规则库信息加载木马病毒规则库及白名单；

2. 枚举WEB目录下的脚本文件，循环判断是否包含木马病毒规则库内 容；

3. 如果WEB目录下的脚本文件包含木马病毒规则库中的内容，则判断 其是否包含在白名单中。如果否，则继续判断下一WEB目录下的脚本文件 是否包含木马病毒规则库内容；

4. 若脚本文件包含在白名单中，则再次返回步骤2循环判断；

5. 若脚本文件未包含在白名单中，则进行报警。

以WEB服务器为WINDOWS应用平台为例：

在WEB服务器，首先获得WINDOWS的WEB站点目录及虚拟目录，启动 扫描程序。WINDOWS 2003版本之前的操作系统中，隐含的注册表键值包 含了WEB站点目录，查询此键值即可获得当前系统的WEB站点目录，但不 能获得虚拟目录，虚拟目录的获得可以通过查询IIS的ARCHIVE库获得。 WINDOWS 2003及之后的操作系统中，不能直接获得注册表，需查询IIS 的ARCHIVE库，以获得所有的WEB站点目录以及虚拟目录信息。